Banca non fornisce dati personali a ex dipendente: sanzione di 10.000,00 Euro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Banca non fornisce dati personali a ex dipendente: sanzione di 10.000,00 Euro

Messaggio da Giancarlo Favero »

Interessante questo caso in cui un ex-dipendente di Banca Cambiano 1884 S.p.A. (confluita successivamente per incorporazione in Invest Banca S.p.A.)
ha chiesto di ottenere copia dei propri dati personali trattati dalla banca, inviando una PEC alla quale non otteneva però riscontro entro 30 giorni.
Per quresto si è rivolto al Garante per la protezione dei dati personali che ha irrogato una sanzione di 10.000,00 Euro alla banca.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9877728

Grazie e buona lettura,
Giancarlo Favero

Ordinanza ingiunzione nei confronti di Banca Cambiano 1884 S.p.A. - 9 marzo 2023

Registro dei provvedimenti
n. 67 del 9 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 07/07/2021, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Invest Banca S.p.A. (oggi società incorporata in Banca Cambiano 1884 S.p.A.);

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 07/07/2021, il sig. XX rappresentava di aver formulato, in data 05/05/2021 nei confronti di Invest Banca S.p.A. (società cancellata a seguito di fusione per incorporazione in Banca Cambiano 1884 S.p.A., di seguito “la Banca”), un’istanza volta a ottenere “copia dei dati personali oggetto di trattamento e le informazioni di cui all’art. 15 del Regolamento”. Tuttavia, la richiesta, regolarmente notificata alla Banca tramite pec in data 05/05/2021, come risulta dalla documentazione prodotta in atti, non veniva riscontrata nei termini di cui all’art. 12, par. 3, del Regolamento.

Con la nota del 02/09/2021 (prot. n. 44487), l’Ufficio invitava la Banca a fornire osservazioni in merito a quanto rappresentato nel reclamo e ad aderire alle richieste del reclamante.

La Banca, con nota del 21/09/2021, forniva integrale riscontro alle richieste del reclamante, indicando in modo dettagliato le categorie di dati oggetto di trattamento e le informazioni relative allo stesso, suo ex dipendente, ancora in suo possesso, dichiarando al contempo che “il non tempestivo riscontro alla prima richiesta di accesso dati è conseguito a problematiche tecniche, derivanti dall’odierna situazione aziendale (in amministrazione straordinaria), che alla modalità lavorativa in smart working”.

Per quanto sopra, l’Ufficio provvedeva a notificare alla Banca l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento (prot. n. 55878 dell’08/11/2021).

La Società, in data 01/12/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui dichiarava preliminarmente di aver dato adeguato riscontro alle richieste formulate dal reclamante con l’istanza del 05/05/2021. Veniva inoltre ribadito che:

- “la tardiva trasmissione [del riscontro] lungi dall’essere frutto di dolo o di colpa, è stata determinata da un mero errore da parte della Banca la quale evidentemente, era persuasa di aver esitato la richiesta in esame quando così non è stato”;

- “il Signor XX, al momento della richiesta era già a conoscenza delle procedure e delle finalità del trattamento dei propri dati personali (nella sua qualità di consulente finanziario monomandatario) (…). Il contratto di agenzia tra il sig. XX e la Banca prevedeva espressamente la nomina del predetto XX a responsabile esterno del trattamento dei dati per la clientela; al momento della nomina al sig. XX fu resa ampia informativa ai sensi di legge e acquisito il consenso al trattamento (…);

- “se la richiesta non è stata evasa tempestivamente ciò è la conseguenza di un mero errore materiale e difetto di coordinamento tra i vari uffici preposti della banca la quale, nelle more del commissariamento, ha subito l’azzeramento di tutti i vertici aziendali e la sostituzione delle persone fisiche responsabili delle funzioni apicali di controllo a vari livelli”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Banca, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante in data 05/05/2021, non abbia fornito alcun riscontro nei termini di legge.

Preliminarmente, si evidenzia che, in data 27/11/2021, Invest Banca S.p.A. è stata cancellata a seguito di fusione mediante incorporazione in Banca Cambiano 1884 S.p.A. (avvenuta il 25/10/2021) e che, pertanto, sulla base di quanto previsto dall’art. 2504-bis c.c. e delle “Prescrizioni in materia di operazioni di fusione e scissione fra società” adottate dall’Autorità in data 08/04/2009 (reperibile sul sito web doc. n. 1609999), il presente provvedimento viene adottato nei confronti della società incorporante che subentra nei rapporti attivi e passivi della società incorporata.

Ciò posto, esaminato il merito della questione, si osserva che l’art. 15 del Regolamento riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati e alle informazioni elencate alle lettere a) - h) del medesimo articolo.

Si osserva, inoltre, che ai sensi degli artt. 12 del Regolamento, il titolare del trattamento è tenuto a fornire all’interessato l’accesso ai propri dati e a tutte le informazioni da questo richieste ai sensi degli artt. 15 e ss. del Regolamento “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e che, entro lo stesso termine, ove ritenga necessario applicare la prevista proroga di due mesi in ragione “della complessità e del numero delle richieste”, deve informarne l’interessato indicandone i motivi; “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Risulta, pertanto, accertato che la Banca, in qualità di titolare del trattamento, non ha fornito alcuna informazione all’istante, anche in merito ai motivi dell’inottemperanza, in violazione della disposizione di cui all’art. 12 del Regolamento.

Si osserva che la Banca ha addotto, quale causa principale del mancato riscontro all’istanza di esercizio dei diritti del reclamante, problematiche attinenti all’organizzazione aziendale che hanno provocato, nel caso di specie, un “difetto di coordinamento tra i vari uffici preposti”.

Tali argomentazioni, tuttavia, non possono assurgere a valido motivo di esclusione della responsabilità della parte, ciò sulla base di una consolidata giurisprudenza che, in tema di violazioni amministrative, stabilisce che la buona fede esclude la responsabilità, laddove “il trasgressore riesca a dimostrare di aver fatto tutto il possibile ai fini dell’osservanza della norma di legge” (tra tutte v. Cass. sez. II civ. n. 10841/08). Va, altresì, tenuto conto anche della disposizione contenuta nell’art. 24 del Regolamento, in base alla quale “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire (…) che il trattamento è effettuato conformemente al Regolamento”.

Parimenti, non può essere assunta quale valido motivo di giustificazione della omissione, l’argomentazione secondo cui l’istante, in quanto ex dipendente, era già a conoscenza delle modalità e delle finalità dei trattamenti effettuati anche sulla base delle informative che, nel corso del rapporto di lavoro, gli sono state fornite.

Infatti, sotto questo profilo, si rammenta che l’art. 15 del Regolamento riconosce, preliminarmente, all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e di conseguenza, e in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni. Ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione, è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- la circostanza che il titolare ha fornito riscontro all’istanza del reclamante, nel corso del procedimento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 12 e 15 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3. e 15 del Regolamento;

ORDINA

a Banca Cambiano 1884 S.p.A., società incorporante Invest Banca S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Firenze, viale Antonio Gramsci n. 34, P.I. 02599341209, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Società di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Roma, 9 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Rispondi